是否可以使用C#编程生成X509证书?
我们正在尝试使用C#和BouncyCastle库以编程方式生成X509证书(包括私钥)。我们尝试使用this sample by Felix Kollmann中的部分代码,但证书的私钥部分返回null。编码和单元测试情况如下:是否可以使用C#编程生成X509证书?
using System;
using System.Collections;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Asn1.X509;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Crypto.Generators;
using Org.BouncyCastle.Crypto.Prng;
using Org.BouncyCastle.Math;
using Org.BouncyCastle.Security;
using Org.BouncyCastle.X509;
namespace MyApp
{
public class CertificateGenerator
{
/// <summary>
///
/// </summary>
/// <remarks>Based on <see cref="http://www.fkollmann.de/v2/post/Creating-certificates-using-BouncyCastle.aspx"/></remarks>
/// <param name="subjectName"></param>
/// <returns></returns>
public static byte[] GenerateCertificate(string subjectName)
{
var kpgen = new RsaKeyPairGenerator();
kpgen.Init(new KeyGenerationParameters(new SecureRandom(new CryptoApiRandomGenerator()), 1024));
var kp = kpgen.GenerateKeyPair();
var gen = new X509V3CertificateGenerator();
var certName = new X509Name("CN=" + subjectName);
var serialNo = BigInteger.ProbablePrime(120, new Random());
gen.SetSerialNumber(serialNo);
gen.SetSubjectDN(certName);
gen.SetIssuerDN(certName);
gen.SetNotAfter(DateTime.Now.AddYears(100));
gen.SetNotBefore(DateTime.Now.Subtract(new TimeSpan(7, 0, 0, 0)));
gen.SetSignatureAlgorithm("MD5WithRSA");
gen.SetPublicKey(kp.Public);
gen.AddExtension(
X509Extensions.AuthorityKeyIdentifier.Id,
false,
new AuthorityKeyIdentifier(
SubjectPublicKeyInfoFactory.CreateSubjectPublicKeyInfo(kp.Public),
new GeneralNames(new GeneralName(certName)),
serialNo));
gen.AddExtension(
X509Extensions.ExtendedKeyUsage.Id,
false,
new ExtendedKeyUsage(new ArrayList() { new DerObjectIdentifier("1.3.6.1.5.5.7.3.1") }));
var newCert = gen.Generate(kp.Private);
return DotNetUtilities.ToX509Certificate(newCert).Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12, "password");
}
}
}
单元测试:
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using Microsoft.VisualStudio.TestTools.UnitTesting;
namespace MyApp
{
[TestClass]
public class CertificateGeneratorTests
{
[TestMethod]
public void GenerateCertificate_Test_ValidCertificate()
{
// Arrange
string subjectName = "test";
// Act
byte[] actual = CertificateGenerator.GenerateCertificate(subjectName);
// Assert
var cert = new X509Certificate2(actual, "password");
Assert.AreEqual("CN=" + subjectName, cert.Subject);
Assert.IsInstanceOfType(cert.PrivateKey, typeof(RSACryptoServiceProvider));
}
}
}
只是为了澄清,X.509证书不包含的私钥。单词证书有时被误用来表示证书和私钥的组合,但它们是两个不同的实体。使用证书的重点是或多或少地公开发送,而不必发送必须保密的私钥。一个X509Certificate2对象可能有一个与之关联的私钥(通过它的PrivateKey属性),但这只是作为此类设计的一部分的便利。
在您的第一个BouncyCastle代码示例中,newCert实际上只是证书,DotNetUtilities.ToX509Certificate(newCert)仅从证书构建而成。
考虑到PKCS#12格式需要私钥的存在,我很惊讶下面的部分甚至可以工作(考虑到你在一个不可能知道私钥的证书上调用它) :
.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12,
"password");
(gen.Generate(kp.Private)签名使用私钥证书,但并没有把证书,这是没有意义的私人密钥。)
如果你希望你的方法返回两个证书和私钥可以:
- 返回
X509Certificate2对象,其中你初始化PrivateKey财产 - 构建PKCS#12店,并返回其
byte[]内容(就好像它是一个文件)。 Step 3 in the link you've sent(mirror)解释了如何构建PKCS#12存储。
为X.509证书返回byte[](DER)结构本身将不包含私钥。
如果您的主要担心(根据您的测试案例)要检查证书是否是从RSA密钥对构建的,则可以改为检查其公钥的类型。
我意识到这是一个老的文章,但我发现它经历的过程这些优秀的文章:
为这些主题制作CA签名证书,meta是您的好友:https://meta.stackexchange.com/questions/8231/are-answers-that-just- contains-links-elsewhere-really-good-answers – MatthewMartin 2014-06-18 14:56:01
获取链接的安全警告.. – 2015-02-18 19:28:01
我更新了链接。 – haymansfield 2016-10-28 10:18:32
+1,很不错的解释。你看过PKCS#12规范吗?它是* BRUTAL *!我认为PKCS#12可以做任何事情;你不需要私钥。通常,PKCS#12用于保存私钥和相关证书,但还有其他可能性。 – 2010-09-22 22:46:21
为步骤3提供的链接似乎已关闭。值得庆幸的是,archive.org仍然包含以下内容:http://web.archive.org/web/20100504192226/http://www.fkollmann.de/v2/post/Creating-certificates-using-BouncyCastle。aspx – Kyle 2012-04-25 17:12:11
@Zenox,随时编辑我的答案并将其替换,这应该给你几点。 – Bruno 2012-04-25 17:18:07